Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit einer P2S-VPN-Gatewayverbindung (Point-to-Site) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die von einem Remotestandort aus eine Verbindung zu virtuellen Azure-Netzwerken herstellen möchten, z. B. von zu Hause oder einer Konferenz aus. Wenn nur einige wenige Clients eine Verbindung mit einem virtuellen Netzwerk herstellen müssen, ist ein 2S VPN (und nicht ein Site-to-Site(S2S)-VPN) ebenfalls eine nützliche Lösung. Punkt-zu-Standort-Konfigurationen erfordern einen routenbasierten VPN-Typ .
Welches Protokoll verwendet P2S?
P2S-VPN kann eins der folgenden Protokolle verwenden:
OpenVPN®-Protokoll, ein auf SSL/TLS basierendes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. OpenVPN kann verwendet werden, um eine Verbindung von Android, iOS (Versionen 11.0 und höher), Windows, Linux und Mac-Geräten (macOS-Versionen 10.13 und höher) herzustellen. Unterstützte Versionen sind TLS 1.2 und TLS 1.3 basierend auf dem TLS-Handshake.
Secure Socket Tunneling Protocol (SSTP), ein proprietäres TLS-basiertes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. SSTP wird nur auf Windows Geräten unterstützt. Azure unterstützt alle Versionen von Windows, die SSTP besitzen und TLS 1.2 (Windows 8.1 und höher) unterstützen.
IKEv2 VPN, eine standardsbasierte IPsec VPN-Lösung. IKEv2-VPN kann zum Herstellen einer Verbindung von Mac-Geräten (macOS-Version 10.11 und höher) verwendet werden.
Wie werden P2S-VPN-Clients authentifiziert?
Bevor Azure eine P2S-VPN-Verbindung akzeptiert, muss der Benutzer zuerst authentifiziert werden. Es gibt drei Authentifizierungstypen, die Sie auswählen können, wenn Sie Ihr P2S-Gateway konfigurieren. Die Optionen sind:
Sie können mehrere Authentifizierungstypen für Ihre P2S-Gatewaykonfiguration auswählen. Wenn Sie mehrere Authentifizierungstypen auswählen, muss der verwendete VPN-Client von mindestens einem Authentifizierungstyp und dem entsprechenden Tunneltyp unterstützt werden. Wenn Sie z. B. "IKEv2 und OpenVPN" für Tunneltypen und "Microsoft Entra ID und Radius" oder "Microsoft Entra ID und Azure Zertifikat" für den Authentifizierungstyp auswählen, verwendet Microsoft Entra ID nur den OpenVPN-Tunneltyp, da er von IKEv2 nicht unterstützt wird.
In der folgenden Tabelle sind Authentifizierungsmechanismen aufgeführt, die mit ausgewählten Tunneltypen kompatibel sind. Jeder Mechanismus erfordert eine entsprechende VPN-Clientsoftware auf dem Verbindungsgerät, um mit den richtigen Einstellungen konfiguriert zu werden, die in den VPN-Clientprofilkonfigurationsdateien verfügbar sind.
| Tunneltyp | Authentifizierungsmechanismus |
|---|---|
| OpenVPN | Jede Teilmenge von Microsoft Entra ID, RADIUS-Authentifizierung und Azure-Zertifikat |
| SSTP (Secure Socket Tunneling Protocol) | Radius Auth/Azure-Zertifikat |
| IKEv2 | Radius Auth/Azure-Zertifikat |
| IKEv2 und OpenVPN | Radius-Authentifizierung/Azure-Zertifikat/Microsoft Entra ID und Radius-Authentifizierung/Microsoft Entra ID und Azure-Zertifikat |
| IKEv2 und SSTP | Radius Auth/Azure-Zertifikat |
Zertifikatauthentifizierung
Wenn Sie Ihr P2S-Gateway für die Zertifikatauthentifizierung konfigurieren, laden Sie den öffentlichen Schlüssel des vertrauenswürdigen Stammzertifikats in das Azure Gateway hoch. Sie können ein Stammzertifikat verwenden, das mit einer Unternehmenslösung generiert wurde, oder ein selbstsigniertes Zertifikat generieren.
Zur Authentifizierung muss jeder Client, der eine Verbindung herstellt, über ein installiertes Clientzertifikat verfügen, das aus dem vertrauenswürdigen Stammzertifikat generiert wird. Dies ist zusätzlich zu der VPN-Clientsoftware. Die Überprüfung des Clientzertifikats wird vom VPN-Gateway durchgeführt und erfolgt während der Herstellung der P2S-VPN-Verbindung.
Zertifikatauthentifizierungs-Workflow
Auf einer hohen Ebene müssen Sie die folgenden Schritte ausführen, um die Zertifikatauthentifizierung zu konfigurieren:
- Aktivieren Sie die Zertifikatauthentifizierung auf dem P2S-Gateway sowie die zusätzlichen erforderlichen Einstellungen (Clientadresspool usw.), und laden Sie die Informationen zu öffentlichen Schlüsseln der Stammzertifizierungsstelle hoch.
- Generieren und Herunterladen von VPN-Clientprofilkonfigurationsdateien (Profilkonfigurationspaket).
- Installieren Sie das Clientzertifikat auf jedem verbindenden Clientcomputer.
- Konfigurieren Sie den VPN-Client auf dem Clientcomputer mithilfe der Einstellungen im VPN-Profilkonfigurationspaket.
- Verbinden.
Microsoft Entra ID Authentifizierung
Sie können Ihr P2S-Gateway so konfigurieren, dass VPN-Benutzer sich mit Microsoft Entra ID Anmeldeinformationen authentifizieren können. Mit Microsoft Entra ID Authentifizierung können Sie Microsoft Entra Features für bedingten Zugriff und mehrstufige Authentifizierung (MFA) für VPN verwenden. Microsoft Entra ID Authentifizierung wird nur für das OpenVPN-Protokoll unterstützt. Um sich zu authentifizieren und eine Verbindung herzustellen, müssen Clients den Azure VPN-Client verwenden.
VPN Gateway unterstützt jetzt eine neue von Microsoft registrierte App-ID und entsprechende Zielgruppenwerte für die neuesten Versionen des Azure VPN-Clients. Wenn Sie ein P2S-VPN-Gateway mit den neuen Zielgruppenwerten konfigurieren, überspringen Sie den zuvor erforderlichen Azure manuellen Registrierungsprozess der VPN-Client-App für Ihren Microsoft Entra Mandanten. Die App-ID wurde bereits erstellt und Ihr Mandant kann sie automatisch ohne zusätzliche Registrierungsschritte verwenden. Dieser Vorgang ist sicherer als die manuelle Registrierung des Azure VPN-Clients, da Sie die App nicht autorisieren oder Berechtigungen über die Rolle "Cloud App-Administrator" zuweisen müssen. Um den Unterschied zwischen den Anwendungsobjekttypen besser zu verstehen, lesen Sie How und warum Anwendungen zu Microsoft Entra ID hinzugefügt werden.
- Wenn Ihr P2S-Benutzer-VPN-Gateway mit den Audience-Werten für die manuell konfigurierte Azure VPN-Client-App konfiguriert ist, können Sie ganz einfach das Gateway und die Clienteinstellungen ändern, um die neue Microsoft-registrierte App-ID zu nutzen. Wenn Linux-Clients eine Verbindung herstellen sollen, müssen Sie das P2S-Gateway mit dem neuen Zielgruppenwert aktualisieren. Der Azure VPN-Client für Linux ist nicht abwärtskompatibel mit den älteren Zielgruppenwerten.
- Wenn Sie einen benutzerdefinierten Zielgruppenwert erstellen oder ändern möchten, lesen Sie "Erstellen einer benutzerdefinierten Zielgruppen-App-ID für P2S VPN".
- Wenn Sie den Zugriff auf P2S basierend auf Benutzern und Gruppen konfigurieren oder einschränken möchten, lesen Sie "Szenario: Konfigurieren des P2S-VPN-Zugriffs basierend auf Benutzern und Gruppen".
Überlegungen
Ein P2S-VPN-Gateway kann nur einen Zielgruppenwert unterstützen. Es kann nicht mehrere Zielgruppenwerte gleichzeitig unterstützen.
Der Azure VPN-Client für Linux ist nicht abwärtskompatibel mit P2S-Gateways, die für die Verwendung der älteren Zielgruppenwerte konfiguriert sind, die an der manuell registrierten App ausgerichtet sind. Der Azure VPN-Client für Linux unterstützt jedoch benutzerdefinierte Zielgruppenwerte.
-
Obwohl es möglich ist, dass der Azure VPN-Client für Linux möglicherweise auf anderen Linux-Distributionen und -Versionen funktioniert, wird der Azure VPN-Client für Linux nur in den folgenden Versionen unterstützt:
- Ubuntu 20.04
- Ubuntu 22.04
-
Es ist zwar möglich, dass der Azure VPN-Client für Windows möglicherweise auf anderen Betriebssystemversionen funktioniert, der Azure VPN-Client für Windows wird jedoch nur in den folgenden Versionen unterstützt:
- Unterstützte Windows Versionen: Windows 10, Windows 11 auf X64-Prozessoren.
- Der Azure VPN-Client für Windows wird für Systeme, die auf einem ARM-Prozessor ausgeführt werden, nicht unterstützt.
Die neuesten Versionen der Azure VPN-Clients für macOS und Windows sind abwärtskompatibel mit P2S-Gateways, die für die Verwendung der älteren Zielgruppenwerte konfiguriert sind, die mit der manuell registrierten App übereinstimmen. Diese Clients unterstützen auch Werte für benutzerdefinierte Zielgruppen.
Azure VPN-Client-Zielgruppenwerte
In der folgenden Tabelle sind die Versionen des Azure VPN-Clients aufgeführt, die für jede App-ID und die entsprechenden verfügbaren Zielgruppenwerte unterstützt werden.
| App-ID | Unterstützte Zielgruppenwerte | Unterstützte Clients |
|---|---|---|
| Bei Microsoft registriert | Der Benutzergruppenwert c632b3df-fb67-4d84-bdcf-b95ad541b5c8 gilt für:- Azure Öffentlich - Azure Government - Azure Germany - Microsoft Azure betrieben von 21Vianet |
-Linux - Windows – macOS |
| Manuell registriert | - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure betrieben von 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
- Windows – macOS |
| Benutzerdefiniert | <custom-app-id> |
-Linux - Windows – macOS |
Microsoft Entra ID Authentifizierungsworkflow
Auf hoher Ebene müssen Sie die folgenden Schritte ausführen, um Microsoft Entra ID Authentifizierung zu konfigurieren:
- Wenn Sie die manuelle App-Registrierung verwenden, führen Sie die erforderlichen Schritte für den Microsoft Entra Mandanten aus.
- Aktivieren Sie Microsoft Entra ID Authentifizierung auf dem P2S-Gateway sowie die zusätzlichen erforderlichen Einstellungen (Clientadresspool usw.).
- Generieren und Herunterladen von VPN-Clientprofilkonfigurationsdateien (Profilkonfigurationspaket).
- Herunterladen, Installieren und Konfigurieren des Azure VPN-Clients auf dem Clientcomputer.
- Verbinden.
RADIUS – Active Directory (AD)-Domänenserverauthentifizierung
Die AD-Domänenauthentifizierung ermöglicht Es Benutzern, mithilfe ihrer Organisationsdomänenanmeldeinformationen eine Verbindung mit Azure herzustellen. Dafür ist ein RADIUS-Server erforderlich, der in den AD-Server integriert wird. Organisationen können auch ihre vorhandene RADIUS-Bereitstellung nutzen.
Der RADIUS-Server kann lokal oder in Ihrem Azure virtuellen Netzwerk bereitgestellt werden. Während der Authentifizierung fungiert die Azure VPN Gateway als Durchlauf- und Weiterleitung von Authentifizierungsmeldungen zwischen dem RADIUS-Server und dem verbindungsgerät. Die Erreichbarkeit des Gateways durch den RADIUS-Server ist daher wichtig. Wenn der RADIUS-Server lokal vorhanden ist, ist eine VPN-S2S-Verbindung von Azure zum lokalen Standort erforderlich, um erreichbar zu sein.
Der RADIUS-Server kann auch in AD-Zertifikatdienste integriert werden. Auf diese Weise können Sie den RADIUS-Server und Ihre Unternehmenszertifikatbereitstellung für die P2S-Zertifikatauthentifizierung als Alternative zur Azure Zertifikatauthentifizierung verwenden. Der Vorteil besteht darin, dass Sie weder Stammzertifikate noch widerrufene Zertifikate auf Azure hochladen müssen.
Ein RADIUS-Server kann auch in andere externe Identitätssysteme integriert werden. Dadurch ergeben sich zahlreiche Authentifizierungsoptionen für P2S-VPNs, einschließlich Optionen für die mehrstufige Authentifizierung.
Die Konfigurationsschritte für P2S-Gateways finden Sie unter "Konfigurieren von P2S – RADIUS".
Welche Anforderungen an die Clientkonfiguration müssen erfüllt sein?
Die Clientkonfigurationsanforderungen variieren abhängig vom verwendeten VPN-Client, dem Authentifizierungstyp und dem Protokoll. In der folgenden Tabelle sind die verfügbaren Clients und die entsprechenden Artikel für die jeweilige Konfiguration aufgeführt.
| Authentifizierungsmethode | Tunneltyp | Clientbetriebssystem | VPN-Client |
|---|---|---|---|
| Zertifikat | |||
| IKEv2, SSTP | Windows | Nativer VPN-Client | |
| IKEv2 | macOS | Nativer VPN-Client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN-Client OpenVPN-Clientversion 2.x OpenVPN-Clientversion 3.x |
|
| OpenVPN | macOS | OpenVPN-Client | |
| OpenVPN | iOS | OpenVPN-Client | |
| OpenVPN | Linux |
Azure VPN-Client OpenVPN-Client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-Client | |
| OpenVPN | macOS | Azure VPN-Client | |
| OpenVPN | Linux | Azure VPN-Client |
Welche Versionen des Azure VPN-Clients sind verfügbar?
Informationen zu den verfügbaren Azure VPN-Clientversionen, Veröffentlichungsdaten und Neuerungen in jeder Version finden Sie unter Azure VPN Client-Versionen.
Welche Gateway-SKUs unterstützen P2S-VPN?
Die folgende Tabelle zeigt Gateway-SKUs nach Tunnel, Verbindung und Durchsatz. Weitere Informationen finden Sie unter Informationen zu Gateway-SKUs.
|
VPN Tor Generation |
SKU |
S2S/VNet-to-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregate Durchsatz-Benchmark- |
BGP | Zone-redundant | Unterstützte Anzahl der VMs im virtuellen Netzwerk |
|---|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein | 200 |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein | 450 |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein | 1300 |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein | 4000 |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja | 1000 |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja | 2000 |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja | 5.000 |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein | 685 |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein | 2240 |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein | 5300 |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10.000 | 10 GBit/s | Unterstützt | Nein | 6700 |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja | 2000 |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja | 3300 |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja | 4400 |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10.000 | 10 GBit/s | Unterstützt | Ja | 9.000 |
Hinweis
"Unterstützte Anzahl von virtuellen Computern im Virtual Network" bezieht sich auf die Anzahl der Ressourcen, die über das Gateway kommunizieren. Dazu gehören:
- Virtuelle Computer im Hub und in virtuellen Spoke-Netzwerken mit Peering
- Private Endpunkte
- Virtuelle Netzwerkgeräte (z. B. Anwendungsgateway, Azure Firewall)
- Back-End-Instanzen von PaaS-Diensten, die in virtuellen Netzwerken bereitgestellt werden (z. B. SQL Managed Instance, App Service Environment)
Hinweis
Die Basic-SKU weist Einschränkungen auf und unterstützt keine IKEv2-, IPv6- oder RADIUS-Authentifizierung. Weitere Informationen finden Sie unter VPN Gateway settings.
Welche IKE/IPsec-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
In den Tabellen in diesem Abschnitt werden die Werte für die Standardrichtlinien angezeigt. Sie spiegeln jedoch nicht die verfügbaren unterstützten Werte für benutzerdefinierte Richtlinien wider. Benutzerdefinierte Richtlinien finden Sie unter den akzeptierten Werten, die im PowerShell Cmdlet New-AzVpnClientIpsecParameter aufgeführt sind.
IKEv2
| Verschlüsselung | Integrität | PRF | DH-Gruppe |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec-
| Verschlüsselung | Integrität | PFS-Gruppe |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GRUPPE_KEINE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GRUPPE_KEINE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GRUPPE_KEINE |
Welche TLS-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
TLS
| Richtlinien |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Nur unterstützt auf TLS1.3 mit OpenVPN
Wie konfiguriere ich eine P2S-Verbindung?
Eine P2S-Konfiguration erfordert einige bestimmte Schritte. Die folgenden Artikel enthalten die Schritte, die Sie durch die allgemeinen P2S-Konfigurationsschritte leiten.
Entfernen der Konfiguration einer P2S-Verbindung
Sie können die Konfiguration einer Verbindung mithilfe von PowerShell oder der CLI entfernen. Beispiele finden Sie in den häufig gestellten Fragen .For examples, see the FAQ.
Wie funktioniert P2S-Routing?
Weitere Informationen finden Sie in folgenden Artikeln:
- Informationen zum Point-to-Site-VPN-Routing
- So wird's gemacht: Bewerben von benutzerdefinierten Routen
Häufig gestellte Fragen
Es gibt mehrere häufig gestellte Fragen (FAQ) für Point-to-Site-Einträge. Weitere Informationen finden Sie in den Abschnitten VPN Gateway und achten Sie dabei insbesondere auf die Abschnitte Certificate authentication und RADIUS.
Nächste Schritte
- Einrichten einer P2S-Verbindung - Azure-Zertifikatauthentifizierung
- Konfigurieren Sie eine P2S-Verbindung - Microsoft Entra ID-Authentifizierung
"OpenVPN" ist eine Marke von OpenVPN Inc.